Chính sách bảo mật cho Web Server

Chính sách b o m t cho Web Server ậ

ả

ủ ữ ấ ỡ ạ ụ ể ể ố ộ ị ừ ố ị ộ c trình bày nh i đây đ ki u ừ ể ch i d ch v , qu ng cáo các website có n i dung không lành m nh, xoá, thay đ i ổ ư ấ ứ ạ ượ ứ ể Các máy ch Web (Webserver) luôn là nh ng vùng đ t màu m cho các hacker tìm ki m các ế thông tin giá tr hay gây r i vì m t m c đích nào đó. Hi m ho có th là b t c cái gì t t n công t ả ấ ụ n i dung các file hay ph n m m ch a mã nguy hi m. Bài vi ầ ộ ề nh ng l ệ ả ữ t d ế ướ i khuyên cho vi c đ m b o an toàn cho các máy ch Web: ủ ả ờ

V Patches và Updates: ề ph i đ ng xuyên đ ki m tra h c ch y th ạ ả ượ ườ ể ể ệ ố c c p nh t cho Windows, IIS và .NET Framework. ả ậ ả ượ ậ ả

• Microsoft Baseline Security Analyzer th ng và ki m tra các b n c p nh t ậ i ph i đ ậ ớ ể • Các b n vá l ỗ • Đăng ký nh n tin v i Microsoft Security Notification Service t ậ ạ i : http://www.microsoft.com/technet/sec…tin/notify.asp

ả ượ c setup và ch y trên server ạ Các Tool cho IIS IISLockdown

• • URLScan

ph i đ c setup, tinh ch nh và ch y trên server ph i đ ả ượ ạ ỉ

ề

ả t ế ầ c ch y v i account có quy n t ề ố ạ ớ

ụ V các ng d ng ứ Ph i disable các ng d ng không c n thi ụ ứ ả ượ ư i thi u ể ế ử ụ ả ụ ụ t Telnet ứ ứ Ph i t ả ắ

• • Các ng d ng ph i đ • Các ng d ng nh FTP, SMTP, và NNTP ph i disable n u không s d ng • • ASP .NET Service State ph i đ

ả ượ ở ấ ứ c disable và không dùng b i b t kì ng d ng khác. ụ ể ể Vào Start > Run > gõ services.msc, tìm service ASP .NET Service State đ ki m tra ch c ch n service này đ c disable. ượ ắ ắ

ề V Protocols • WebDAV ph i đ ặ ả ượ c sucure n u c n. Thông tin ế ầ i Microsoft Knowledge Base article 323470, t n u không s d ng ho c ph i đ ử ụ ạ

ả ượ

• TCP/IP ph i đ • NetBIOS and SMB ph i đ

c disabled (đóng các ports 137, 138, 139, và 445). c t ả ượ ắ ế v WebDAV, các b n có th xem thêm t ể ạ ề “How To: Create a Secure WebDAV Publishing Directory“ c config k . ỹ ả ượ

ề c xóa b ế ử ụ ả ượ ỏ

V Accounts ữ Ph i t ả ắ

c đ i sang tên khác, và ph i đ t password ph c t p ứ ạ ả ượ ổ

• Nh ng account không s d ng đ n ph i đ • t (disable) account Guest. • Account Administrator ph i đ • Account IUSR_MACHINE ph i đ c t ả ượ ắ ế • N u các ng d ng c n quy n anonymous access, các b n ph i create account ụ

ả ặ t n u không dùng đ n ế ả ạ ế ứ ề ầ anonymous này v i quy n th p nh t có th ề ấ ấ ớ ể

ề ư ụ ữ không đ ượ c phép có quy n write vào th m c web và ụ

• Nh ng account anonymous không đ ữ ứ

t l p v i quy n th p nh t. (Ch c thi ậ ạ ứ ằ • Các account ch y ng d ng ASP.NET ph i đ ả ượ ế ậ ụ ề ỉ ụ ượ c truy c p vào nh ng ng d ng b ng command line ớ ặ ị ấ ạ ứ ạ ặ ị ề ấ ấ ớ

•

t l p trên sever. ứ ạ ế ậ

ả ả c đ m b o tính b o m t, không chia s thông tin các

• • Các account qu n tr ph i đ

ấ ụ áp d ng khi b n không dùng account ASPNET – account m c đ nh ch y ng d ng ASP.NET v i quy n m c đ nh th p nh t) Ph i có chính sách v account và password ph c t p thi ề Ph i remove group Everyone trên policy “Access this computer from the network” ả ả ượ ả ẽ ả ả ậ ị account này.

c t

t ả ượ ắ i quá 2 accounts.

c đ m b o secure cho account Administrators.

• Null sessions (anonymous logons) ph i đ • Group Administrator không t n t ồ ạ • Remote logon ph i đ ả

ả ượ ả

ề c setup NTFS

ả ượ c đ t ả ượ ặ ở ứ ớ c đ t partition khác v i partition ch a files h th ng th m c ho c partition khác v i 2 partition ch a Web và ả ượ ặ ở ư ụ ệ ố ứ ặ ớ ư ụ V Files và c u trúc th m c ấ • T t c các partition ph i đ ấ ả • Th m c Web ph i đ ư ụ • Log files ph i đ Files h th ng

c thi ả ượ ư ụ ế ậ ể ề ậ ứ t l p đ không có quy n truy c p vào th m c ch a ệ ố • Group Everyone ph i đ ệ ố ư ồ ờ ứ ề ậ • Account Tnternet Guest ph i đ t l p tuy t đ i không có quy n write vào th c thi files h th ng nh \Windows hay \Windows\System32 … đ ng th i cũng không có quy n truy c p vào Th m c hay partition ch a Web ư ụ ệ ố ả ượ ế ậ ư ề m c ch a Web ứ ụ

• Remote IIS Administration ph i đ

c xóa hay disable ả ượ (\Windows\System32\Inetsrv\IISAdmin).

c xóa b hay disable ả ượ ỏ

• Resource Kit Tools, Utilities, và các SDKs ph i đ • Các Sample c a IIS ph i đ

c xóa (\Windows\Help\IISHelp, \Inetpub\IISSamples). ả ượ ủ

Shares

• Nh ng shares không c n thi

t ph i đ c removeAll unnecessary shares are removed ữ ế ầ ả ượ (including default administration shares).

t l p đ có th truy c p vào các shares ế ậ ượ ể ể ậ

• Group Everyone không đ c thi • Các Administrative shares (nh C$ D$ E$ … và Admin$) ph i đ ư

ả ượ ầ c xóa n u không c n ế t (Ch có Microsoft Management Server (SMS) và Microsoft Operations Manager ế thi (MOM) s d ng các Shares trên). ỉ ử ụ

Ports

• C m truy xu t internet cho Web Server (đóng các outbound port 80, 8080 … ho c có

ấ ặ ấ ể

•

th remove Internet Explorer) Intranet traffic ph i đ c mã hóa (ví d mã hóa v i SSL) ả ượ ụ ớ

Registry

• Remote registry ph i t •

SAM ph i đ c b o v (HKLM\System\CurrentControlSet\Control\LSA\NoLMHash). ả ượ ả t. ả ắ ệ

ỉ Các chính sách sau ch áp d ng cho StandAlone Server ụ Logging

ẫ c b o v . ệ ả ượ ả ượ ng log files ph i đ ậ ng d n và ph i đ t l p thích h p. ả ượ ả ợ c server ghi nh n. c thay đ i đ ả ượ c ki m tra th ổ ườ c thi ườ ả ượ ể c ghi nh n. ậ

• Login failed ph i đ • IIS log files ph i đ • Dung l ượ • Log files ph i đ • Các truy c p vào Metabase.bin ph i đ •

ế ậ ng xuyên. ả ượ c configured d ng W3C. IIS log ph i đ ậ ả ượ ạ

Sites and Virtual Directories • Web sites ph i đ c đ t partition khác v i partition ch a system (non-system ả ượ ặ ở ứ ớ

partition.) “Parent paths” ph i đ c disable. ả ượ

• • Các virtual directories nguy hi m nh IISSamples, IISAdmin, IISHelp, và các Scripts

ư ể virtual directories ph i đ c remove ả ượ c remove ho c đ ặ ượ ả ệ

• MSADC virtual directory (RDS) ph i đ ả ượ • Các Virtual directories cho phép truy c p anonymous access ph i disable quy n Write và ậ

c b o v ả ề

• Ch set quy n write cho nh ng folders yêu c u có authentication (dùng SSL n u c n ế ầ

ữ ề ầ Excute ỉ t)ế

•

thi FrontPage Server Extensions (FPSE) ph i đ c remove n u không dùng đ n. ả ượ ế ế

Script Mappings

• Nên chuy n (mapping) các Extensions không dùng đ n sang 404.dll (ví d nh .idq,

ụ ư ể ế .htw, .ida, .shtml, .shtm, .stm, idc, .htr, .printer).

ữ ế t c a ASP.NET nên mapped đ n

• Nh ng extension không c n thi “HttpForbiddenHandler”

ầ ế ủ Machine.config. ở

ISAPI Filters

• Nh ng ISAPI filters không c n thi

t hay không dùng đ n ph i đ c removed ữ ầ ế ả ượ ế

IIS Metabase

• Truy c p vào Metabase ph i đ

c ghi nh n và ph i đ c gi i h n b ng cách dùng ậ ả ượ ả ượ ậ ằ

•

ớ ạ NTFS permissions (%systemroot%\system32\inetsrv\metabase.bin). c gi IIS banner information ph i đ i h n s d ng ớ ạ ử ụ ả ượ

Other Check Points

t l p low session IISLockdown và URLScan tool ph i đ ả ượ ả c setup và ch y trên server ạ ả ượ c b o v và mã hóa (SSL). Nên thi ệ ế ậ

• • Remote administration ph i đ time-outs và account lockouts.

H n ch DOS và Nh ng đi u không nên th c hi n ạ ữ ự ề

•

ế ệ ở Ph i setup Web Server nh m t server riêng bi ư ộ ả Web Server t ệ

ệ ả ượ ả c b o v nghiêm ng t (physically protect) ặ t l p các anonymous accounts khác nhau cho t ng application khác nhau ơ ặ ế ậ ừ

ộ

ế ố ế ậ ư ỹ

• N i đ t server ph i đ • Thi • Không nên install IIS server trên m t domain controller • Không nên k t n i internet cho IIS server khi ch a thi t l p k các chính sách security • Không cho phép Group Anyone truy c p Locally. Logon Locally ch nên có 1 group duy

ậ ỉ nh t là Administrators ấ